[ad_1]

Los documentos revelados por WikiLeaks con Vault 7 indican que la CIA ha obtenido sus armas para el ciberespionaje por tres vías. Algunas vulnerabilidades las han desarrollado sus propios técnicos, otras forman parte del conocimiento que comparten con agencias de inteligencia, como la NSA —cuya vigilancia masiva descubrió Edward Snowden—, el FBI o el GCHQ británico. Y, como tercer camino, la CIA ha comprado malware a empresas privadas.

El resultado fue la cosecha de un arsenal de virus, troyanos y sistemas de control remoto para penetrar dispositivos e intervenir comunicaciones. El malware podía atacar de múltiples formas a los smartphone con Android, al iPhone y al iPad, a ordenadores con Windows y Mac OS e incluso a las televisiones inteligentes.

Imagen de la'compra' en los documentos de WikiLeaks.
Imagen de la ‘compra’ en los documentos de WikiLeaks.

La filtración de WikiLeaks incluye tablas donde se cataloga el malware por nombre, tipo y otras características. Una de ellas es cómo se encontró. En este apartado, en uno de los 8.761 documentos filtrados destaca un nombre que no es la NSA, el FBI ni ningún organismo de inteligencia conocido: Baitshop. Y va acompañado de la palabra purchase (compra). En otra parte de la tabla se especifica que otra vulnerabilidad “llegó por compra”.

El mercado gris del ‘malware’

Existen empresas que se dedican a comercializar con vulnerabilidades. Las compran a los investigadores de seguridad que las descubren y luego las revenden a otras entidades, en vez de informar a las compañías afectadas, como podrían ser Google, Apple o Microsoft. Baitshop podría referirse a una de estas empresas y formaría parte de un mercado gris del malware.

No es el mercado negro, ese mundo subterráneo asociado a la llamada Deep Web, cuyo nombre resuena habitualmente en los medios como sinónimo de los bajos fondos de Internet. No es necesario que la CIA se vaya tan lejos. El mercado gris es un controvertido limbo en el mundo de la ciberseguridad, un espacio con sombras pero legal. “En el mercado negro no hay ninguna contemplación. [Las vulnerabilidades] se venden al mejor postor y ya está. En el mercado gris, dependiendo de a quién, se puede restringir la venta”, explica Josep Albors, director de laboratorio en España de la firma de seguridad informática ESET.

El experto en ciberseguridad de Deloitte Deepak Daswani califica a estas empresas de “mediadoras entre el investigador de seguridad y el que quiera comprar la vulnerabilidad”. Son compañías que están en Internet. Con una búsqueda sencilla se pueden encontrar sus páginas web, donde exhiben sus tablas de precios. No se esconden, están constituidas legalmente y tienen una actividad declarada. “Es un mercado que existe y que es lícito”, señala Daswani. “Al final los clientes son gobiernos y agencias de inteligencia que tienen el poder y los recursos económicos para utilizar esto”

El intercambio comercial es sencillo. Un investigador de seguridad descubre una vulnerabilidad. Acude a una de estas empresas y, si el precio le conviene, se la vende. Después la CIA acudiría a esta empresa y preguntaría por su catálogo de malware. Escogería el que quisiera y pagaría el precio estipulado.

Tras la pista de ‘Baitshop’

Algunas empresas que operan en el mercado gris son Zerodium (heredera de Vupen, una de las más conocidas del mundillo), Exodus Intelligence, Netragard o el conocido intermediario The Grugq, cuyo papel se puede equiparar al de un agente literario, que busca editor para la novela de su cliente; en su caso busca comprador para vulnerabilidades que desarrollan otros y, cuando lo encuentra, se queda con una comisión del 15%.

Pero Baitshop no es un nombre conocido. En Internet no hay ni rastro suyo y ni siquiera los líderes del mercado gris saben quién es. Chouki Bekrar, fundador de Vupen y Zerodium, especula en Twitter con que puede ser un nombre en clave.

En realidad podría ser cualquiera de las anteriores empresas. Aunque no se pueden descartar grandes compañías que también hacen este trabajo, como Northrop Grumman o Raytheon, ambos contratistas del gobierno de Estados Unidos.

Los compradores del malware pueden ser entidades gubernamentales u otras empresas. ¿También cibercriminales? Hay ciertos límites a la hora de vender, pero la frontera es aceitosa. “El problema es cómo identificas, porque un cibercriminal se puede hacer pasar por una empresa legítima”, comenta Albors.

“Digamos que el problema no está en la legalidad sino en la ética”, Albors incide en que los agentes del mercado gris no están por la labor de concienciar a las empresas como Google y Apple para que solucionen los fallos encontrados.

Daswani coincide en la reflexión. “Esto siempre se ha puesto en entredicho. Hay diferentes posturas en el mundo de la seguridad, pero por supuesto que es cuestionable”, y va más allá. “¿Qué diferencia hay con gente que vende armas? Pues podría ser equivalente”. Después de todo, las vulnerabilidades no dejan de ser las armas esenciales para el ciberespionaje.

Fuente – EL PAÍS